Polityka i prawo

Departament Obrony USA zaniedbuje cyberbezpieczeństwo. Raport wskazuje problemy Pentagonu

Fot. US Army Combat Capabilities Development Command/flickr
Fot. US Army Combat Capabilities Development Command/flickr

Departament Obrony USA nie zrealizował w pełni wszystkich inicjatyw, które miały przyczynić się do podniesienia poziomu cyberbezpieczeństwa państwa. Wiele praktyk nie zostało wdrożonych, co wpływa na zwiększenie ryzyka dotyczącego cyberataków ze strony wrogich podmiotów. Specjaliści jednego z amerykańskich organów rządowych przedstawili problem w raporcie.   

Według raportu „DoD Needs to Take Decisive Actions to Improve Cyber Hygiene”, opracowanego przez ekspertów U.S. Government Accountability Office (GAO) - instytucji kontrolnej Kongresu, Departament Obrony USA nie wdrożył w pełni trzech kluczowych praktyk, mających na celu poprawę poziomu „cyber-higieny”. W dokumencie pojęcie to zostało zdefiniowane jako „zestaw praktyk zarządzania najczęstszymi i najbardziej rozpowszechnionymi zagrożeniami cyberbezpieczeństwa”.

Jedną ze wspomnianych praktyk była inicjatywa „The Culture and Compliance" z 2015 roku, określająca 11 ogólnych zadań, które miały zostać wdrożone do końca 2016. Obejmowały one edukację i szkolenie w zakresie cyberbezpieczeństwa, integrację jednostek i systemów w ćwiczeniach operacyjnych prowadzonych w wirtualnej rzeczywistości oraz realizację zaleceń dotyczących zmian w zdolnościach państwa w cyberprzestrzeni. Jak wskazuje GAO, Departament nie wywiązał się z nałożonego obowiązku i część z wymienionych zadań nie zostało w pełni zrealizowanych.

„The Cyber Discipline Plan” to druga inicjatywa z tego samego roku, która miała zostać wdrożona przez DoD. Plan obejmował 17 zadań, których cel stanowiło usunięcie luk w sieciach i systemach departamentu, jakie mogłyby być wykorzystane przez wrogów do przeprowadzenia ataku. Założenia zawarte w planie nie zostały zrealizowane zgodnie z założeniami. „Co więcej, DoD nie przekazywał wszystkich informacji na temat postępów we wdrażaniu dobrych praktyk” – czytamy w raporcie.

Kolejną praktyką, która powinna zostać wdrożona przez Departament Obrony to „The Cyber Awareness Training”. Szkolenie miało na celu wsparcie pracowników DoD w utrzymaniu świadomości na temat znanych i pojawiających się cyberzagrożeń oraz wzmocnić najlepsze praktyki dla zapewnienia bezpieczeństwa informacji i systemów. W raporcie specjaliści GAO podkreślają, że nie wszystkie osoby pracujące w departamencie ukończyły wymagane szkolenie.

W tym miejscy warto podkreślić, że DoD opracował wykaz technik, z jakich najczęściej korzystają wrogie podmioty w cyberprzestrzeni i które stanowią największe zagrożenie dla departamentu. Zidentyfikowano również właściwe praktyki ochrony sieci i systemów DOD przed złośliwymi cyberataki. Specjaliści GAO wskazują, że powyższe inicjatywy należy postrzegać bardzo pozytywnie, ponieważ podnoszą one poziom cyberbezpieczeństwa.

Niestety, Pentagon wykazuje problemy z praktycznym wdrożeniem opracowanych rozwiązań. Częściowo jest to spowodowane brakiem odpowiedniego monitorowania stanu poszczególnych komponentów DoD. „Ogólnie rzecz biorąc, dopóki Departament Obrony nie zakończy rozpoczętych inicjatyw w zakresie cyber-higieny i nie zapewni wdrożenia odpowiednich praktyk, DoD będzie narażony na zwiększone ryzyko udanego ataku” – czytamy w raporcie.

Uzależnienie od technologii

„Departament staje się coraz bardziej zależny od technologii informatycznych (IT), a ryzyko rośnie w miarę ewolucji zagrożeń cyberbezpieczeństwa” – czytamy w raporcie GAO. Według danych zamieszczonych w raporcie, 90 proc. cyberataków mogłoby zostać zneutralizowanych poprzez wdrożenie podstawowej cyber-higieny i dzielenie się najlepszymi praktykami.

W związku z tym GAO zaleca między innymi, aby sekretarz obrony kontrolował proces „nadrabiania zaległości” i opracował plan działania, wraz z datami zakończenia wdrażania brakujących elementów wyżej wymienionych inicjatyw.

Sekretarz obrony powinien również dopilnować, aby jego zastępca skutecznie nadzorował wdrażanie właściwych praktyk cyber-higieny oraz  informował o postępach w ich realizacji. Zdaniem GAO konieczny jest również ścisły monitoring szkoleń w ramach Cyber ​​Awareness Challenge, w tym obserwacja osób, którym nie udało się ich ukończyć z sukcesem. Wzięcie udziału w podnoszeniu kwalifikacji powinno być obowiązkowe dla personelu DoD.

Komentarze

    Czytaj także